HOWTO: Branch Office VPN over TLS

Seit Fireware 12.1 bietet WatchGuard die Möglichkeit, eine Standortvernetzung bequem über TLS umzusetzen. Das Server-Client Modell spielt seine Stärken besonders dann aus, wenn keine statischen IP-Adressen vorhanden oder IP-SEC durch vorgelagerte Router nicht möglich ist. Sie können also eine vorkonfigurierte Firewall an einen entsprechenden Außenstandort liefern lassen und unabhängig vom ISP benötigt das Remote-Device nur eine WAN Verbindung via Port 443.

Voraussetzungen

  • Server- und Client-WatchGuard mit Fireware Version >= 12.1
  • WAN Strecke erlaubt Kommunikation auf Port 443 (OpenVPN)
  • Gleiche Verschlüsselungsparameter auf beiden Endgeräten

Fallbeispiel

Erläuterung

In diesem Artikel geht es um die Verbindung von einer WatchGuard Firebox T15 (Nebenstelle) zur WatchGuard Firebox T35-W in der Zentrale. Nach diesem beschriebenen Schema können weitere Client Devices hinzugefügt werden. Bitte beachten Sie, dass eine Client WatchGuard sich zu mehreren Server WatchGuards verbinden kann und eine Server WatchGuard mehrere Client WatchGuards angebunden haben kann. Eine WatchGuard kann allerdings nicht Server und Client gleichzeitig sein!

Konfiguration Zentrale T35-W (WSM)
  1. Öffnen Sie den WatchGuard System Manager und verbinden sich mit „T35-W Zentrale“
  2. Navigieren Sie zu „VPN“ -> „BOVPN Over TLS“ und aktivieren Sie BOVPN over TLS im Server Mode
  3. Definieren Sie den Primary- und ggf. Backup-Server, über welche die „Server“-Firebox erreichbar ist (statische IP, Domain oder DynDNS).
  4. Klicken Sie bei den „Server Settings“ auf „ADD“, füllen Sie die markierten Felder aus und bestätigen Sie anschließend die Einstellungen mit “OK”.
    • Tunnel ID: Unterscheidet die verschiedenen Client-Devices voneinander
    • Pre-Shared Key: Kennwort für den definierten Tunnel
    • Client Routes: Diese Netze in der Zentrale sind für den Client (Außenstelle) durch den Tunnel erreichbar.
    • Server Routes: Diese Netze am Außenstandort (Client), sind von der Zentrale durch den Tunnel erreichbar.
    • Add this tunnel to the BOVPN-Allow policies: Erstellt automatisch eine BOVPN Policy, damit die Firewall den Traffic des Tunnels akzeptiert.
  5. Unter Advanced können Sie die Verschlüsselung und den IP Address Pool konfigurieren. Der IP Address Pool dient als Transportnetz für die VPN Clients und wird ebenfalls für Mobile User SSL VPN verwendet. Änderungen an Verschlüsselung oder der IP-Range wirken sich also ebenfalls auf den SSL User VPN aus!
  6. Nach Abschluss der BOVPN over TLS Konfiguration werden durch den Haken „Add this tunnel to the BOVPN-Allow policies“ (siehe Punkt 4) folgende Policies automatisch erstellt/ergänzt

    Sie müssen hier für sich abwägen, ob Sie diese automatischen Policies verwenden möchten oder lieber manuell gezielte Regeln erstellen.
Konfiguration Remote T15 (WSM)
  1. Öffnen Sie den WatchGuard System Manager und verbinden sich mit „T15 REMOTE“
  2. Navigieren Sie zu „VPN“ -> „BOVPN Over TLS“ und aktivieren Sie BOVPN over TLS im Client Mode
  3. Klicken Sie auf „ADD“ und füllen die Felder entsprechend der Server-Box aus
  4. Mit einem Klick auf „Edit…“ im Unterpunkt „Advanced Options“ können noch die Verschlüsselungseinstellungen angeglichen werden
  5. Durch den in Punkt 3 gesetzten Haken bei „Add this tunnel to the BOVPN-Allow policies“ wird auch auf dem Client Gerät die automatische Anpassung der Firewall Regeln vorgenommen. Je nach Wunsch kann das natürlich händisch spezieller definiert werden.
Überprüfung der Verbindung im Firebox System Manager

Über den FSM können Sie den aktiven Tunnel sehen und mittels eines PINGs prüfen. Es werden ebenfalls die entsprechenden Routen angezeigt.

  1. T15W Remote
  2. T35-W Zentrale

Zusammenfassung

BOVPN over TLS ist eine einfache Möglichkeit um Standorte zu vernetzen. Seine Stärken spielt diese Technik besonders da aus, wo IP-SEC durch NAT oder dynamischen IPs nur schwer oder gar nicht umzusetzen sind.

Beachten Sie:

  • BOVPN over TLS teilt sich die concurrent Lizenzen mit „Mobile SSL VPN Users“
  • Die Performance gegenüber IP-SEC ist etwas geringer
  • Achten Sie bei der Wahl des Virtual IP Address Pool darauf, dass diese Range weder bei Client- noch bei Server-WatchGuard an einer anderen Stelle verwendet wird.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>